Lucía Sánchez-Ocaña Leyun, Head of Compliance and Legal en Cabot Financial: “El Compliance en nuestro país sigue siendo bastante inmaduro”

Publicado el miércoles, 27 junio 2018

Lucia Sánchez-Ocaña Leyún, Head of Compliance and Legal, Compliance Officer y DPO de Cabot Financial Spain, cuenta con más de 14 años de experiencia profesional principalmente en entidades financieras donde se ha dedicado a la implementación de programas de cumplimiento normativo, a la identificación de los riesgos propios de la identidad y el establecimiento de programas de Compliance adaptados a cada negocio. Lucia es especialista en formación a empleados a través de cursos presenciales y tiene grandes conocimientos en Prevención de Blanqueo de Capitales y Protección de Datos.

Lucia Sánchez-Ocaña Leyún

Lucia Sánchez-Ocaña Leyún

Lawyerpress (LP): Hace unas fechas se ha celebrado el III Congreso Internacional de Compliance organizado por Thomson Reuters y ASCOM en el que usted ha intervenido como ponente. ¿Cuál es su valoración del congreso?

Lucia Sánchez-Ocaña Leyún (LSOL): El Congreso es una magnífica oportunidad para compartir con grandes profesionales los retos a los que nos enfrentamos dentro del mundo de Compliance. Este año se han cubierto muchos temas y se ha enfocado desde una perspectiva plural, anteriormente se identificaba la función de Compliance con entidades reguladas, si embargo, lo que destacaría es la participación de empresas de todos los sectores con un denominador común, el Compliance. Destacaría también la organización y el papel tan importante que está desarrollando en España ASCOM, siendo un referente no sólo para los asociados sino para todos los profesionales de este país, asimismo, Thomson Reuters ha realizado un trabajo de organización muy importante siendo un evento impecable. En resumen, desde mi punto de vista ha sido un evento con muchísimo contenido, con gran participación y creo que ha cubierto con creces las expectativas de los asistentes.

LP: En concreto, usted participó en una mesa sobre el Reglamento General de Protección de Datos y la Importancia del Data Privacy Officer en el modelo de Compliance. ¿Que conclusión principal destacaría del debate?

LSOL: El debate estuvo centrado en la figura del DPO ya que esta nueva figura es clave dentro del Reglamento Europeo. La necesidad de implementarlo viene determinada en el propio Reglamento de tal manera que dependiendo de la compañía existe la obligación o no de tenerlo. En muchos casos se ha entendido erróneamente la figura. Julián Prieto Hergueta de la Agencia Española Protección de Datos dio pautas muy útiles de los casos en los que no es preceptivo implementar la figura y la importancia que tiene de cara a la Agencia la designación e inscripción del DPO.

La independencia y la vigilancia del cumplimiento del Reglamento son algunas de las claves de esta figura, que será quien se comunique con la Agencia y actúe como enlace cuando se produzcan reclamaciones. Es por ello por lo que es muy importante que se cumplan los requisitos establecidos en el Reglamento para poder asumir esta función.

El DPO debe asesorar a las empresas sobre cómo asegurar que la misma se ha adaptado a la nueva regulación, y es determinante para advertir sobre aquellas conductas que puedan derivar en sanciones.

LP: ¿Están las empresas concienciadas y preparadas para afrontar los cambios normativos determinados por el Reglamento europeo de protección de datos?

LSOL: Sinceramente creo que no todas. Dedicarle el tiempo que requiere una adaptación a unos nuevos requisitos no es tarea fácil. La complejidad que existe en cuanto al tratamiento de datos afecta a todos los niveles de las empresas, no es sólo cuestión de implantar una herramienta informática, o bien de designar un DPO, requiere un análisis desde lo más básico hasta lo más complejo y mucho trabajo en equipo.

Partiendo de la base del origen del tratamiento, consentimiento o existencia de interés legítimo, se van desgranando los artículos del Reglamento e identificando todos los elementos de la estructura a los que afecta. Requiere modificación “cultural” más allá de procedimental y/o operativa, y una labor formativa muy importante.

Hay muchas empresas que han sorprendido por la buena adaptación que han tenido, y lo han demostrado al anticiparse a la entrada en vigor del Reglamento. Por el contrario, hay otras que parece que no le han otorgado la importancia que debe a pesar de las declaraciones de Mar España, directora de la AEPD indicando que no va a existir moratoria. Me ha sorprendido bastante la semana de entrada en vigor del Reglamento como ha habido un aluvión de comunicaciones por parte de las empresas intentando recabar de nuevo el consentimiento. Me asusta pensar que en muchos casos ese consentimiento otorgado inicialmente seguía siendo válido sin que implicara ningún cambio, y sin embargo dando la sensación de que no se había realizado ninguna evaluación se ha intentado conseguir el consentimiento de nuevo. Ante esto me surge una duda, ¿cómo han reaccionado cuando han verificado que más de la mitad de sus bases de datos no han consentido?

LP: Y en general, ¿están conscientes de la importancia de implantar un sistema de compliance?

LSOL: Compliance en nuestro país sigue siendo bastante inmaduro, si bien considero que se ha evolucionado muchísimo, todavía cuesta que el 100% de las empresas le den la importancia que tiene.

Una de las labores que considero son más importantes para el Compliance Officer es precisamente el “vender” las ventajas de la implementación de la función. La imagen actual es que Compliance es el “policía interno” y más allá de la función de control, está la función de concienciación. Debería entenderse como un valor en todas las organizaciones que demuestre esa responsabilidad de los empresarios a la hora de ejercer la actividad y que sea proporcionado. Es muy importante poder aportar valor más allá de garantizar el cumplimiento que sin duda es la labor principal.

Las entidades reguladas están mucho más concienciadas en cuanto a la implantación de un sistema de compliance puesto que tienen obligaciones de cara a su regulador y por lo tanto es un elemento fundamental en el seno de la entidad. En cuanto a las empresas privadas, es cierto que la modificación del Código Penal del 2015 y la introducción de la posibilidad de exonerar de responsabilidad penal de las personas jurídicas ha servido de pilar para darle a la función de Compliance toda la fuerza que necesitaba, poco a poco se irá notando la implementación en todas las empresas, hay que tener un poco de paciencia y seguir convenciendo sobre los beneficios de la implementación.

LP: Su empresa pertenece al área financiera. ¿Cuáles son los principales puntos que debe cumplir un mapa de riesgos de una empresa de sus características y sector?

LSOL: El mapa de riesgos está establecido en función de los riesgos identificados en la compañía, y la probabilidad de que ocurra. Cada área tiene sus particularidades y por lo tanto los riesgos tienen que estar adaptados a cada una de ellas. No son iguales los riesgos que existen en el departamento de operaciones que los que tiene Recursos Humanos. La gestión del riesgo implica dentro de una organización como la nuestra la identificación de los principales riesgos de nuestra actividad (gestión y compra de NPLs), teniendo en cuenta que puede haber elementos externos que haya que controlar, evaluación de los riesgos y cuantificación de estos y el cómo tratarlos para garantizar que se mitigan. Requiere un seguimiento continuo y una revisión periódica de la calificación de los riesgos de manera que es una parte fundamental del trabajo que realizamos.

LP: Hablando de los modelos de compliance. ¿En su opinión, son adecuados y efectivos los que actualmente se implantan la mayoría de nuestras empresas?

LSOL: En la mayoría de las empresas si, muchas de ellas siguen las directrices establecidas en la norma UNE 19600. Esta norma establece las indicaciones a la hora de establecer un programa de Compliance y en la mayoría de las empresas el modelo que se está implementado es el de la Norma. La alineación entre lo establecido entre el Código Penal y la Norma es determinante a la hora de seguir las Directrices y por lo tanto tendiendo a la armonización en el mundo de Compliance de una u otra manera las empresas la están siguiendo.

LP: ¿Cuál es su opinión sobre las certificaciones de acuerdo con la norma UNE1960? ¿Pueden convertirse en un criterio objetivo para defender la efectividad del sistema de Compliance en los tribunales?

LSOL: Las certificaciones son unos indicadores de que la función de Compliance sigue los estándares de la norma, sin embargo, debe ir acompañada de procesos auditables que realmente demuestren que la función tiene eficacia. Por si misma la certificación no considero que pueda ser un criterio objetivo para defender la efectividad, si bien, es un punto de partida muy importante para que se considere que dentro de la compañía existe una cultura arraigada de Compliance.

Más allá de la obtención de la certificación, las empresas tienen que entender la responsabilidad que supone el mantenimiento de esta certificación. Hay empresas que una vez obtenida considera que es en sí misma una garantía de exoneración de responsabilidad penal de la persona jurídica, y sin embargo no lo es.

LP: Numerosas compañías están comercializando herramientas para la gestión del compliance. En su opinión ¿cuáles son los puntos clave que deberían incluir estas herramientas para la adecuada gestión del compliance? 

LSOL: En mi opinión, hay que tener un profundo conocimiento de la empresa, de su funcionamiento, necesidades, y principales riesgos. La gestión del Compliance es diferente en cada empresa, y por lo tanto no puede haber un modelo único para todos. La eficacia de una herramienta de gestión vendrá determinada en tanto en cuanto se pueda adaptar a cada negocio.

LP: Usted como compliance Officer de una compañía ¿que nos podría aportar sobre la polémica de la conveniencia o no de contar con un compliance officer interno o externalizar el puesto y las funciones?

LSOL: Este tema ha sido muy discutido y en mi opinión sincera creo que depende. Hay que analizar cada empresa, los recursos humanos con los que cuenta, el presupuesto que existe y en función de todos estos parámetros definir la figura interna o externamente.

El objetivo es velar por el cumplimiento, y si bien en organizaciones más grandes considero importante que el Compliance Officer este internalizado, en organizaciones pequeñas normalmente está asumido por alguna otra función o bien externalizado.

Un compliance officer interno tiene ventajas en tanto en cuanto está diariamente en contacto con todas las unidades de negocio y puede aportar más valor y el externo normalmente tiene una independencia garantizada que es un valor muy importante dentro de la función, que, si bien siempre es independiente al no interactuar con el negocio de manera constante, se puede entender que ejerce su independencia de manera más libre.

Hay que realizar una evaluación de cual es la mayor eficacia en función de la estructura de la empresa, y al final poder utilizar la función como justificación de la exoneración de responsabilidad penal de la persona jurídica.

LP: Por último y en el mismo sentido, ¿cuál es su opinión sobre la responsabilidad penal del compliance Officer?

LSOL: Considero que la figura del Compliance Officer se debería regular. Es cierto que ya ha habido casos en España de imputación penal a Compliance Officer, y en muchos casos la problemática que existe hace que la figura se vea expuesta a circunstancias que lleven a tomar decisiones cuyas consecuencias sean penales. Asimismo, estamos ante situaciones de indefensión en el caso de que tomemos decisiones que vayan contra intereses particulares de miembros directivos, y por lo tanto en algunas empresas existe un “miedo al despido” que desvirtúa la función. Creo que como en todas las funciones hay que ser profesional y responsable del trabajo que se realiza, sin embargo, en el caso de los compliance officer se mantiene ese terror a la imputación penal. Ojalá podamos ver pronto una regulación que ampare al Compliance Officer y regule toda su actividad.

LP: Lucia Sánchez-Ocaña Leyún, muchas gracias por su tiempo

Sobre el autor

La redacción de Lawyerpress NOTICIAS la componen periodistas de reconocido prestigio y experiencia profesional. Encabezado por Hans A. Böck como Editor y codirigido por Núria Ribas. Nos puede contactar en redaccion@lawyerpress.com y seguirnos en Twitter en @newsjuridicas

Comenta el articulo